การเชื่อมต่อ Third-party VPN กับ IAG – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

ภาพรวม Third-party Connection

Third-party VPN configuration with Static IP

IAG มีฟังก์ชันสำหรับเชื่อมต่อกับอุปกรณ์ Third-party VPN โดยสามารถตั้งค่า Standard IPSec VPN Connection กับอุปกรณ์ VPN ของผู้ผลิตอื่นได้ การตั้งค่าแบ่งออกเป็น 2 Phase หลัก คือ Phase I (IKE Negotiation) และ Phase II (IPSec Policy)

Phase I - IKE Negotiation

Third-party VPN Phase II Inbound and Outbound Policy

ตั้งค่าข้อมูลเกี่ยวกับอุปกรณ์ VPN ที่ต้องการสร้าง Standard IPSec Connection กับ IAG

Outgoing Line - เลือก Line ที่ใช้สำหรับตั้งค่า Standard IPSec VPN Connection กับ Peer End จากนั้นคลิก Add เพื่อเปิดหน้า Edit Peer Device

การตั้งค่า Peer Device

Device Name - กำหนดชื่อของ Phase I Policy
Description - เพิ่มคำอธิบาย Policy
Outgoing Line - เลือก Line สำหรับ Connection
Address Type - เลือกประเภท Address ได้แก่:
- Static IP - กรอก Fixed IP Address และ Pre-Shared Key
- Dynamic Domain - กรอก Dynamic Domain Name และ Pre-Shared Key
- Dynamic IP Address - กรอก Pre-Shared Key (ในกรณีนี้จะตั้งค่า Connection ได้เฉพาะ Aggressive Mode เท่านั้น)
Authentication - เลือก Pre-Shared Key สำหรับ Authentication
Work as secondary appliance - รองรับ Backup Tunnels หาก Master และ Backup Tunnels ถูกสร้างขึ้นและ Master Tunnel ถูกตัดการเชื่อมต่อ Data Packets จะถูกส่งผ่าน Backup Tunnel เท่านั้น
Enabled - เปิดใช้งาน Policy
Auto connect - เชื่อมต่ออัตโนมัติ

Advanced Settings สำหรับ Phase I

คลิก Advanced เพื่อเปิดหน้า Advanced Settings:

ISAKMP Lifetime - ตั้งค่าระยะเวลาอยู่รอดของ Phase I Policy (หน่วยเป็นวินาที)
Max Attempts - จำนวนครั้ง Retry ระหว่าง Negotiation ใน Phase I
Mode - โหมด Negotiation ที่รองรับใน Phase I ได้แก่ Main Mode และ Aggressive Mode
D-H Group - กำหนด Diffie-Hellman Group สำหรับ Negotiation ได้แก่ MODP768 Group (1), MODP1024 Group (2) และ MODP1536 Group (5)
Enable DPD - เปิดใช้งาน Dead Peer Detection เพื่อตรวจจับ Fault ที่ Peer End
- Detection Interval - ช่วงเวลาตรวจจับสถานะ Peer End (5-60 วินาที)
- Max Timeout Count - จำนวนครั้ง Timeout สูงสุด (1-6) เมื่อถึงค่าสูงสุดจะถือว่า Peer End Device มีปัญหา

ISAKMP Algorithm

Authentication - เลือก Authentication Algorithm ได้แก่ MD5, SHA-1 และ SM3
Encryption - เลือก Encryption Algorithm ได้แก่ DES, 3DES, AES, SANGFOR_DES, SCB2 และ SM4

หมายเหตุ:

Standard IPSec รองรับเฉพาะ Routing Mode เท่านั้น ไม่รองรับ Bridge และ One-armed Mode
Standard IPSec ไม่อนุญาตให้ทั้งสองฝั่งตั้งค่า Dynamic IP Address Mode พร้อมกัน
หากตั้งค่า ISAKMP Encryption Algorithm เป็น SANGFOR_DES ทั้งสองฝั่งต้องเป็นอุปกรณ์ SANGFOR

Phase II - IPSec Policy

ตั้งค่า Inbound Policy และ Outbound Policy ของ VPN

Inbound Policy Settings

กำหนดกฎสำหรับ Packets ที่ส่งจาก Peer End มายัง Local End คลิก Add เพื่อเปิดหน้า Policy Setup:

Policy Name - กำหนดชื่อ Inbound Policy
Description - เพิ่มคำอธิบาย Policy
Source Type - IP Address หรือ IP Address Segment ของ VPN Peer End ที่อนุญาตให้เข้าถึง Local End
Source IP Address - กำหนด Source IP
Peer Device - เลือก Peer Device ที่กำหนดใน Phase I
Inbound Service - เลือก Service ที่สามารถเข้าถึง Local Device ได้ (ต้องกำหนดไว้ล่วงหน้าที่ System > Sangfor VPN > Advanced > LAN Services)
Schedule - กำหนดตารางเวลา
Allow/Deny in the above schedule - อนุญาตหรือปฏิเสธตาม Schedule
Enable Expiry Time - ตั้งค่าเวลาหมดอายุ (ต้องกำหนดไว้ล่วงหน้าที่ VPN Configuration > Settings > Time and Schedule Settings)
Enable This Policy - เปิดใช้งาน Policy

Outbound Policy Settings

กำหนดกฎสำหรับ Packets ที่ส่งจาก Local End ไปยัง Peer End คลิก Add เพื่อเปิดหน้า Policy Setup:

Policy Name - กำหนดชื่อ Outbound Policy
Description - เพิ่มคำอธิบาย Policy
Source - IP Address หรือ IP Address Segment ของ VPN Local End
Source IP Address - กำหนด Source IP
Peer Device - เลือก Peer Device ที่กำหนดใน Phase I
SA Lifetime - ระยะเวลา SA (ค่าเริ่มต้น 28800 วินาที)
Outbound Service - เลือก Service สำหรับ Outbound
Security Option - เลือก Security Option (Default Security Option)
Schedule - กำหนดตารางเวลา
Enable This Policy - เปิดใช้งาน Policy
Perfect Forward Secrecy - เปิดใช้งาน PFS เพื่อเพิ่มความปลอดภัย